Configurar la creación de reflejo del puertoConfigure Port Mirroring

Se aplica a: Advanced Threat Analytics versión 1.9Applies to: Advanced Threat Analytics version 1.9

Nota

Este artículo solo es relevante si implementa puertas de enlace de ATA en lugar de puertas de enlace ligeras de ATA.This article is relevant only if you deploy ATA Gateways instead of ATA Lightweight Gateways. Para determinar si tiene que usar puertas de enlace de ATA, consulte elección de las puertas de enlace adecuadas para la implementación.To determine if you need to use ATA Gateways, see Choosing the right gateways for your deployment.

El origen de datos principal que usa ATA es la inspección profunda de paquetes del tráfico de red hacia y desde los controladores de dominio.The main data source used by ATA is deep packet inspection of the network traffic to and from your domain controllers. Para que ATA vea el tráfico de red, debe configurar la creación de reflejo del puerto o usar un TAP de red.For ATA to see the network traffic, you must either configure port mirroring, or use a Network TAP.

En el caso de la creación de reflejo del puerto, configure la creación de reflejo del puerto para cada controlador de dominio que quiera supervisar como origen del tráfico de red.For port mirroring, configure port mirroring for each domain controller to be monitored, as the source of the network traffic. Normalmente, tiene que colaborar con el equipo de virtualización o de redes para configurar la creación de reflejo del puerto.Typically, you need to work with the networking or virtualization team to configure port mirroring. Para más información, vea la documentación del proveedor.For more information, see your vendor's documentation.

Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales.Your domain controllers and ATA Gateways can be either physical or virtual. A continuación se indican los métodos comunes para la creación de reflejo del puerto y algunas consideraciones.The following are common methods for port mirroring and some considerations. Para más información, vea la documentación del producto del servidor de virtualización o del conmutador.For more information, see your switch or virtualization server product documentation. El fabricante del conmutador podría usar una terminología diferente.Your switch manufacturer might use different terminology.

Analizador de puerto conmutado (SPAN) : copia el tráfico de red de uno o más puertos de conmutador a otro puerto de conmutador en el mismo conmutador.Switched Port Analyzer (SPAN) – Copies network traffic from one or more switch ports to another switch port on the same switch. Tanto la puerta de enlace de ATA como los controladores de dominio deben estar conectados al mismo conmutador físico.Both the ATA Gateway and domain controllers must be connected to the same physical switch.

Analizador de puerto conmutado remoto (RSPAN) : permite supervisar el tráfico de red de puertos de origen distribuidos entre varios conmutadores físicos.Remote Switch Port Analyzer (RSPAN) – Allows you to monitor network traffic from source ports distributed over multiple physical switches. RSPAN copia el tráfico de origen en una VLAN especial configurada para RSPAN.RSPAN copies the source traffic into a special RSPAN configured VLAN. Esta VLAN debe ser troncal a los demás modificadores pertinentes.This VLAN needs to be trunked to the other switches involved. RSPAN funciona en el nivel 2.RSPAN works at Layer 2.

Analizador de puerto conmutado remoto encapsulado (ERSPAN) : se trata de una tecnología de Cisco que funciona en el nivel 3.Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is a Cisco proprietary technology working at Layer 3. ERSPAN permite supervisar el tráfico en los conmutadores sin necesidad de troncos de VLAN.ERSPAN allows you to monitor traffic across switches without the need for VLAN trunks. ERSPAN usa la encapsulación de enrutamiento genérico (GRE) para copiar el tráfico de red supervisado.ERSPAN uses generic routing encapsulation (GRE) to copy monitored network traffic. En la actualidad ATA no puede recibir tráfico ERSPAN directamente.ATA currently cannot directly receive ERSPAN traffic. Para que ATA funcione con tráfico ERSPAN, es necesario que un conmutador o enrutador que pueda desencapsular el tráfico se configure como destino de ERSPAN donde se desencapsulará el tráfico.For ATA to work with ERSPAN traffic, a switch or router that can decapsulate the traffic needs to be configured as the destination of ERSPAN where the traffic is decapsulated. Después, configure el conmutador o el enrutador para reenviar el tráfico desencapsulado a la puerta de enlace de ATA con SPAN o RSPAN.Then configure the switch or router to forward the decapsulated traffic to the ATA Gateway using either SPAN or RSPAN.

Nota

Si el controlador de dominio de cuyo puerto se va a crear un reflejo está conectado mediante un vínculo WAN, asegúrese de que dicho vínculo puede controlar la carga adicional de tráfico ERSPAN.If the domain controller being port mirrored is connected over a WAN link, make sure the WAN link can handle the additional load of the ERSPAN traffic. ATA solo permite supervisar el tráfico cuando este alcanza el controlador del dominio y NIC de la misma forma.ATA only supports traffic monitoring when the traffic reaches the NIC and the domain controller in the same manner. Si el tráfico se distribuye para su salida a través de diferentes puertos, ATA no permite su supervisión.ATA does not support traffic monitoring when the traffic is broken out to different ports.

Opciones de creación de reflejo del puerto admitidasSupported port mirroring options

Puerta de enlace de ATAATA Gateway Controlador de dominioDomain Controller ConsideracionesConsiderations
Las máquinasVirtual Virtual en el mismo hostVirtual on same host El conmutador virtual debe admitir la creación de reflejo del puerto.The virtual switch needs to support port mirroring.

Si se mueve una de las máquinas virtuales a otro host, podría dañarse la creación de reflejo del puerto.Moving one of the virtual machines to another host by itself may break the port mirroring.
Las máquinasVirtual Virtual en hosts diferentesVirtual on different hosts Asegúrese de que el conmutador virtual admite este escenario.Make sure your virtual switch supports this scenario.
Las máquinasVirtual virtuales físicasPhysical Requiere un adaptador de red dedicado. En caso contrario, ATA verá todo el tráfico que entra y sale del host, incluido el tráfico que envía al Centro ATA.Requires a dedicated network adapter otherwise ATA sees all of the traffic coming in and out of the host, even the traffic it sends to the ATA Center.
virtuales físicasPhysical Las máquinasVirtual Asegúrese de que el conmutador virtual admite este escenario y la configuración de la creación de reflejo del puerto en los conmutadores físicos en función del escenario:Make sure your virtual switch supports this scenario - and port mirroring configuration on your physical switches based on the scenario:

Si el host virtual está en el mismo conmutador físico, debe configurar un intervalo de nivel de conmutador.If the virtual host is on the same physical switch, you need to configure a switch level span.

Si el host virtual está en un conmutador diferente, debe configurar RSPAN o ERSPAN*.If the virtual host is on a different switch, you need to configure RSPAN or ERSPAN*.
virtuales físicasPhysical Físico en el mismo conmutadorPhysical on the same switch El conmutador físico debe admitir SPAN/la creación de reflejo del puerto.Physical switch must support SPAN/Port Mirroring.
virtuales físicasPhysical Físico en un conmutador diferentePhysical on a different switch Requiere conmutadores físicos para admitir RSPAN o ERSPAN*.Requires physical switches to support RSPAN or ERSPAN*.

* ERSPAN solo se admite cuando la desencapsulación se realiza antes de que ATA analice el tráfico.* ERSPAN is only supported when decapsulation is performed before the traffic is analyzed by ATA.

Nota

Asegúrese de que los controladores de dominio y las puertas de enlace de ATA a los que se conectan estén sincronizados a intervalos de cinco minutos entre sí.Make sure that domain controllers and the ATA Gateways to which they connect have time synchronized to within five minutes of each other.

Si trabaja con clústeres de virtualización:If you are working with virtualization clusters:

  • Para cada controlador de dominio que se ejecute en el clúster de virtualización en una máquina virtual con la puerta de enlace de ATA, configure la afinidad entre el controlador de dominio y la puerta de enlace de ATA.For each domain controller running on the virtualization cluster in a virtual machine with the ATA Gateway, configure affinity between the domain controller and the ATA Gateway. De este modo, cuando el controlador de dominio se mueva a otro host del clúster, la puerta de enlace de ATA lo seguirá.This way when the domain controller moves to another host in the cluster the ATA Gateway follows it. Esto funciona bien cuando hay pocos controladores de dominio.This works well when there are a few domain controllers.

Nota

Si el entorno admite máquina virtual a máquina virtual en hosts diferentes (RSPAN) no es necesario preocuparse por la afinidad.If your environment supports Virtual to Virtual on different hosts (RSPAN) you do not need to worry about affinity.

  • Para asegurarse de que las puertas de enlace de ATA tienen el tamaño adecuado para controlar por sí mismas la supervisión de todos los controladores de dominio, pruebe esta opción: instale una máquina virtual en cada host de virtualización e instale una puerta de enlace de ATA en cada host.To make sure the ATA Gateways are properly sized to handle monitoring all of the DCs by themselves, try this option: Install a virtual machine on each virtualization host and install an ATA Gateway on each host. Configure cada puerta de enlace de ATA para que supervise todos los controladores de dominio que se ejecutan en el clúster.Configure each ATA Gateway to monitor all of the domain controllers that run on the cluster. De este modo, se supervisarán todos los hosts en los que se ejecutan los controladores de dominio.This way, any host the domain controllers run on is monitored.

Después de configurar la creación de reflejo del puerto, valide que funciona antes de instalar la puerta de enlace de ATA.After configuring port mirroring, validate that port mirroring is working before installing the ATA Gateway.

Consulte tambiénSee Also